首页
社区
课程
招聘
[原创] IncaseFormat 病毒分析
发表于: 2021-1-19 17:48 3429

[原创] IncaseFormat 病毒分析

2021-1-19 17:48
3429

目录

病毒在特定的时间才会进行真正的文件删除操作,按理来说现在1月份,应该不会出现真正的文件丢失。

但是如火绒所说,新的样本中更改了每天的毫秒数image-20210119162831449

可以参考尝试手动查杀内容进行手动的文件恢复。

基础信息

文件基础信息

  • 大小: 460288 bytes
  • 最后修改时间: ==2021年1月13日==, 18:46:26
  • MD5: 1071D6D497A10CEF44DB396C07CCDE65
  • SHA1: 71AA3A0AF1EDA821A1DEDDF616841C14C3BBD2E3
  • CRC32: 07F3732F

程序基础信息

  • OEP:0x0004F9A4
  • 链接器版本:2.25
  • 猜测编译器:Borland Delphi 6.0-7.0
  • 壳:无

  • 其他

    • 在资源中RC数据中发现部分特征字符串:
      • '感动中国特别奉献'
      • '中华人民共和国万岁!'
        image-20210117101932126

病毒基本行为

病毒危害

  • 将除C盘外的其他磁盘内文件夹改为病毒副本image-20210117103009889

  • w7x32系统下无限弹窗,导致无法正常使用机器 image-20210117103143039

尝试手动查杀

  • 结束进程树可以恢复弹窗

  • 通过DiskGenius发现,病毒并非直接删除文件,而是将所有文件属性更改为==受系统保护的文件==。

    • 而在系统默认的文件夹和文件搜索选项中,系统保护文件的隐藏是默认开启的,并且独立于普通文件隐藏image-20210117104229359
  • 通过在被感染文件夹下使用管理员cmd指令attrib -R -S -H /D /S可以恢复文件属性为正常==此处需要注意,根目录下运行,可能会导致,本身就是系统创建的保护文件被设置为普通文件。==

  • 之后删除病毒增加的文件即可

  • 启动项:删除注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce中的msfsa

  • 删除文件C:\Windows\tsay.exe以及C:\Windows\ttry.exe

  • 即可完成初步的手动查杀。此前提建立在并未重启的情况下

  • ==可是我重启了也没事……依旧只是保护和隐藏。== 等之后的逆向分析看看原因。

病毒行为流程逆向分析

自我拷贝并设置单次启动项

  • 程序FormCreate函数中,首先再次运行了自己image-20210119140216713
  • 之后判断C盘下是否有指定的文件,没有的话自我拷贝并设置自启image-20210119140312350
  • 之后判断自己是不是系统盘下的C:\windows\tsay.exe如果是,在拷贝一份C:\windows\ttry.exe然后运行

4个计时器中的第一个,文件隐藏

  • 第一个计时器首先通过一个函数,遍历磁盘并将可移动介质固定介质的驱动器作为根目录,创建待遍历的字符串列表image-20210119140803011

  • 之后将将遍历根目录逐一取出并进行进一步遍历image-20210119140923651

  • 在处理函数内,病毒首先跳过了部分系统文件image-20210119141024029

  • ==之后将其他文件属性设置为系统保护隐藏==
  • 而后将病毒副本以感染的文件夹名作为名称拷贝到被感染目录,以模仿被感染文件夹。image-20210119141215931

第二个定时器,文件删除

  • 首先获取了时间判断时间年份是否位于2009年后,月份是否位于2月后

    image-20210119141612072

  • 在这之后时间中每月的1日、10日、21日、29日均会执行文件删除操作

    image-20210119141719747

  • 目录同样不会放过image-20210119141735742

第三个,设置资源管理器不显示文件尾缀和隐藏文件

  • 使用注册表Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced中的HideFileExtHidden设置,不显示文件扩展名不显示隐藏文件image-20210119141912706

第四个,创建incaseformat.log文件

  • 在所有驱动器根目录下创建incaseformat.log文件image-20210119142034728

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 471
活跃值: (4013)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
2
好奇,技术含量不很复杂的病毒 怎么还流传到现在 还上新闻了....
2021-1-19 20:01
0
雪    币: 653
活跃值: (825)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
3
xss 好奇,技术含量不很复杂的病毒 怎么还流传到现在 还上新闻了....
我觉得还是网民意识薄弱导致的,这次的传播基本靠人,甚至可能自己中毒了都没有意识到。但是我觉得这样的病毒引起大范围传播,好坏参半。甚至有些想把删除文件部分去掉,再写点东西帮他传播,作为教育和科普。
2021-1-21 13:57
0
游客
登录 | 注册 方可回帖
返回
//